Transparência total: não me considero um guru de CSP!
Dito isso, acho que existem cenários em que seria ideal permitir o domínio na lista de permissões, e outros cenários em que é melhor direcionar os scripts individuais. Tenho quase certeza de que isso depende de quantos scripts você precisa permitir, se confia na fonte, etc. Vou adicionar uma nota ao guia mencionando que você pode usar o domínio como uma solução geral, se necessário.
As configurações nas capturas de tela fornecidas definitivamente foram um pouco exageradas, mas imagino que tenha sido apenas uma tentativa de cobrir tudo, já que nada estava funcionando.
Acabei de adicionar o Pure Chat ao meu site de teste como um experimento. Consegui fazê-lo funcionar no Chrome usando um hash, mas não foi suficiente para o Safari e o Firefox. Passei a ideia para o Penar e isso parece ser uma daquelas situações desafortunadas que exigirão 'unsafe-inline', conforme mencionado em:
@BishopV, acho que sua única opção, caso opte por permanecer com o Pure Chat, é remover todas as entradas que você tem nessa configuração e adicionar 'unsafe-inline', à custa da segurança.
Você já considerou usar Setup HubSpot chat Integration? Isso parece funcionar muito bem com nossa política de CSP.